|
|
|
|
| Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - Kerberos аутентификация для SQL-сервера в доверенном домене. |
|
|
2008 R2 - Kerberos аутентификация для SQL-сервера в доверенном домене.
|
|
Новый участник Сообщения: 16 |
Добрый день.
Есть домен А и домен В. Между ними сделаны двухсторонние транзитивные доверительные отношения. Есть SQL-сервер версии 2012 в домене А, к которому необходимо подключаться используя MS SQL Management Studio через windows аутентификацию пользователям из домена А и В. Пользователи из домена А подключаются без проблем, используется проверка подлинности Kerberos (проверка исуществляется командой select auth_scheme from sys.dm_exec_connections where session_id=@@spid). Пользователи домена В заходя под своими учётными записями, не могут подключиться к SQL серверу через windows аутентификацию, происходит ошибка: Cannot generate SSPI context. Учетные записи пользователей домена В сответсвенно добавлены на SQL-сервер. При этом имя sql сервера нормально резолвится, но если при подключении Management Studio задать не имя сервера а его IP то windows аутентификация работает, но проверка подлинности используется NTLM (опять же видно командой select auth_scheme from sys.dm_exec_connections where session_id=@@spid). Если на компьютере в домене В зайти под учётной записью пользователя домена А, то на сервер заходит как по IP так и по имени сервера, но всё равно проверка подлинности NTLM. Пользователи домена А подключаются без проблем к серверу, проверка подлинности Kerberos. Из домена А видится запись SPN для данного SQL сервера: setspn -L SQL-server.xxxx.xxx.xx Зарегистрирован ServicePrincipalNames для CN=SQL-server,OU=Servers,DC=xxxx,DC=xxx,DC=xx: MSSQLSvc/SQL-server.xxxx.xxx.xx MSSQLSvc/SQL-server.xxxx.xxx.xx:1433 Из домена В делаю такую же проверку setspn -L SQL-server.xxxx.xxx.xx FindDomainForAccount: ошибка вызова DsGetDcNameWithAccountW с возвращаемым значнием 0x00000525 Не удалось найти учетную запись SQL-server.xxxx.xxx.xx Судя по поиску в интернете подсказывают что SPN запись должна определяться в локальном домене, а уже потом проходить проверку подлинности в другом домене, но как создать эту запись? При попытке в домене В зарегистировать SPN командой setspn -A MSSQLSvc/SQL-server.xxxx.xxx.xx SQL-server$@xxxx.xxx.xx получаю ошибку: FindDomainForAccount: ошибка вызова DsGetDcNameWithAccountW с возвращаемым значением 0x00000525 Не удается найти учетную запись SQL-server$@xxxx.xxx.xx Помогите пожалуйста, как решить проблему аутентификации на sql-сервере, пользователей в доверенном домене. |
|
|
Отправлено: 13:36, 30-03-2017 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| 2008 - [решено] выбор сервера для 1C (SQL server) | riga_f | Windows Server 2008/2008 R2 | 6 | 30-08-2010 08:11 | |
| Аутентификация пользователей в домене 2003 | okamen | Microsoft Windows NT/2000/2003 | 20 | 25-03-2009 22:40 | |
| Не вижу пользователей в доверенном домене. | Igor533 | Microsoft Windows NT/2000/2003 | 2 | 07-03-2007 15:31 | |
| Аутентификация Mandrake в NT домене | VideoScooter | Общий по Linux | 8 | 29-12-2005 11:49 | |
| MSFT SQL Server - Ошибка при инициализации сервера (SQL) в новом домене | EVV | Программирование и базы данных | 5 | 25-06-2004 09:49 | |
|
|
Время: 18:28. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
